WebAPI обычно авторизуется через Bearer Token. У вас должен быть публичный контроллер, который в обмен на правильную пару логин-пароль выдает эти токены. Другие контроллеры следует пометить атрибутом [Authorize] и при каждом обращении к ним передавать в заголовках запроса этот токен:
Authorization: Bearer <значение токена>
Где хранить токен на клиенте - решайте сами. Это может быть localStorage, куки, или просто локальная переменная.
